IPv6-Sicherheit: Bedrohungen, Gegenmaßnahmen und Best Practices

Der NAT-Mythos #

Ein Bedenken kommt ständig auf, wenn Organisationen IPv6 in Betracht ziehen: „Sind wir ohne NAT nicht exponiert?"

Nein. NAT war nie ein Sicherheitsfeature. Es war ein Workaround für Adressknappheit, der zufällig interne Adressen versteckte. Eine Stateful Firewall bietet denselben Schutz – Blockierung unaufgeforderter eingehender Verbindungen – ohne die Nachteile der Adressübersetzung.

Das echte Problem ist anders: Viele Netzwerke haben IPv6 aktiviert, haben aber vergessen, IPv6-Firewall-Regeln zu konfigurieren. Das ist ein ernstes Problem und vollständig vermeidbar.

TL;DR - Kurzübersicht

Wichtige Punkte:

NAT ist keine Sicherheit: Stateful Firewalls bieten denselben Schutz ohne Adressübersetzung
IPv6 erfordert explizite Firewall-Regeln: Das größte Risiko ist IPv6 ohne Sicherheitskonfiguration zu aktivieren
ICMPv6 ist essentiell: Anders als IPv4 bricht Blockieren von ICMPv6 grundlegende Netzwerkoperationen
NDP-Angriffe sind real: Setzen Sie RA Guard und First-Hop-Security auf Switches ein
Gleiche Sicherheitsgrundsätze gelten: Zugriffskontrolle, Überwachung und Patching bleiben kritisch

Direkt zu: Firewall-Konfiguration | NDP-Sicherheit | Sicherheits-Checkliste

Der NAT-Mythos #

Was tatsächlich anders ist bei IPv6-Sicherheit #

IPv6 verändert die Bedrohungslandschaft auf spezifische Weise:

Größerer Adressraum schneidet in beide Richtungen. Das Scannen eines /64-Subnetzes dauert Jahrhunderte mit Brute Force. Aber Angreifer verwenden kein Brute Force – sie nutzen DNS-Records, Certificate Transparency Logs und Verkehrsanalyse, um Ziele zu finden. Verlassen Sie sich nicht auf Adress-Obskurität.

Jedes Gerät ist potenziell erreichbar. Mit globalen Adressen auf jedem Host ist Ihre Firewall die einzige Barriere. Dies macht Firewall-Konfiguration kritischer, nicht optional.

ICMPv6 ist essentiell, nicht optional. Anders als bei IPv4, wo Sie alle ICMP blockieren konnten ohne Dinge zu brechen, benötigt IPv6 ICMPv6 für grundlegende Operationen. Blockieren Sie die falschen Nachrichten und Ihr Netzwerk hört auf zu funktionieren.

Neue Protokolle, neue Angriffsfläche. Neighbor Discovery Protocol (NDP) ersetzt ARP und führt neue Vektoren ein. Extension Headers fügen Komplexität hinzu, die Angreifer ausnutzen können.

IPv6-spezifische Angriffsvektoren #

NDP-Spoofing #

Neighbor Discovery Protocol handhabt Adressauflösung, Router-Erkennung und Duplicate Address Detection. Wie ARP in IPv4 ist es standardmäßig vertrauenswürdig.

Ein Angreifer im lokalen Netzwerk kann:

Neighbor Advertisements spoofen, um Verkehr umzuleiten (Man-in-the-Middle)
Gefälschte Router Advertisements senden, um Standard-Gateway zu werden
Duplicate Address Detection-Angriffe durchführen, um legitimen Hosts Adressen zu verweigern

Diese Angriffe erfordern lokalen Netzwerkzugriff – sie sind keine Internet-weiten Bedrohungen. Aber in gemeinsam genutzten Netzwerken (Büros, Rechenzentren, WiFi) sind sie reale Risiken.

Gegenmaßnahme: Implementieren Sie RA Guard und ND Inspection auf Switches. Auf Hosts erwägen Sie SEND (Secure Neighbor Discovery), obwohl die Akzeptanz begrenzt ist.

Router Advertisement-Angriffe #

Eine Rogue RA kann Hosts überzeugen zu:

Den Angreifer als Standard-Gateway verwenden
Einen bösartigen DNS-Server akzeptieren
Ein spezifisches Präfix verwenden (potenziell für Verkehrsabfang)

Dies ist besonders gefährlich, weil die meisten Hosts RAs standardmäßig akzeptieren.

Gegenmaßnahme:

RA Guard auf Switch-Ports (RAs von Nicht-Router-Ports blockieren)
Auf Linux-Hosts: net.ipv6.conf.all.accept_ra = 0 für Server mit statischer Konfiguration
Überwachen Sie unerwartete RAs mit Tools wie ramond oder NDPMon

Extension Header-Ausnutzung #

IPv6 Extension Headers sitzen zwischen dem Haupt-Header und Payload. Legitime Verwendungen umfassen Fragmentierung, Routing-Optionen und IPsec.

Angreifer können sie verwenden um:

Firewalls umgehen, die nicht die vollständige Header-Kette inspizieren
Fragmentierungsangriffe zur Umgehung von Inspection oder Reassembly-Schwachstellen
Mehrdeutige Pakete erstellen, die verschiedene Geräte unterschiedlich interpretieren

Gegenmaßnahme: Verwenden Sie Firewalls, die Extension Header-Ketten vollständig parsen. Verwerfen Sie Pakete mit ungewöhnlichen oder veralteten Extension Headers (wie Type 0 Routing Headers, obsolet durch RFC 5095).

Reconnaissance-Techniken #

Angreifer scannen /64s nicht zufällig. Sie finden IPv6-Ziele durch:

DNS-Zonentransfers oder Raten (www, mail, ns1 usw.)
Certificate Transparency Logs (alle HTTPS-Zertifikate sind öffentlich)
Harvesting aus Verkehr (passive Überwachung)
Vorhersagbare Adressierung (::1, ::100, EUI-64 basierend auf MAC)

Gegenmaßnahme: Verwenden Sie Privacy Extensions für Client-Adressen. Vermeiden Sie vorhersagbare Server-Adressen. Veröffentlichen Sie keine interne Infrastruktur in öffentlichem DNS, falls nicht benötigt.

Firewall-Konfiguration für IPv6 #

Wesentliche zu erlaubende ICMPv6-Typen #

Blockieren Sie diese und Ihr Netzwerk bricht:

Typ	Name	Erforderlich für
1	Destination Unreachable	Path MTU Discovery, Fehlerbehandlung
2	Packet Too Big	Path MTU Discovery (kritisch)
3	Time Exceeded	Traceroute, Loop-Erkennung
128/129	Echo Request/Reply	Ping (optional aber nützlich)
133	Router Solicitation	Host findet Router
134	Router Advertisement	Router kündigt sich an
135	Neighbor Solicitation	Adressauflösung
136	Neighbor Advertisement	Adressauflösungsantwort

Typen 133-136 werden nur im lokalen Link benötigt – leiten Sie sie nicht über Router weiter.

Stateful Firewall-Regeln #

Ein minimales Regelwerk für einen Host:

# Etablierte Verbindungen erlauben
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# ICMPv6 erlauben (spezifischer in Produktion)
-A INPUT -p ipv6-icmp -j ACCEPT
 
# Nur Link-Local für NDP erlauben (sicherer)
-A INPUT -s fe80::/10 -p ipv6-icmp --icmpv6-type 133:136 -j ACCEPT
 
# Spezifische Services erlauben
-A INPUT -p tcp --dport 22 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
 
# Alles andere verwerfen
-A INPUT -j DROP

Für nftables, das Äquivalent:

table inet filter {
  chain input {
    type filter hook input priority 0; policy drop;
 
    ct state established,related accept
    ip6 nexthdr icmpv6 accept
    tcp dport { 22, 443 } accept
  }
}

Vergessen Sie nicht Egress-Filterung #

Ausgehende Regeln sind auch wichtig. Sie können:

Datenexfiltration über unerwartete Protokolle verhindern
Command-and-Control-Verkehr blockieren
Schaden von kompromittierten Hosts begrenzen

Protokollieren Sie mindestens unerwartete ausgehende Verbindungen.

IPsec in IPv6 #

IPsec war ursprünglich zwingend für IPv6-Implementierungen (RFC 2460). Dies wurde später gelockert (RFC 6434), weil universelle Bereitstellung nie geschah.

Dennoch macht IPv6 IPsec sauberer:

Keine NAT-Traversal-Komplikationen
Extension Headers mit IPsec im Hinterkopf entworfen
ESP und AH funktionieren wie beabsichtigt

Wenn Sie Verschlüsselung zwischen spezifischen Hosts oder Standorten benötigen, ist IPsec auf IPv6 unkompliziert – mehr als auf IPv4 mit NAT.

First Hop Security Features #

Moderne Switches bieten Schutz gegen lokale Angriffe:

RA Guard: Blockiert Router Advertisements von nicht autorisierten Ports. Essentiell auf allen Access-Switches.

DHCPv6 Guard: Begrenzt DHCPv6-Server-Antworten auf autorisierte Ports.

ND Inspection: Baut eine Binding-Tabelle von MAC-zu-IPv6-Mappings auf und validiert NDP-Verkehr.

Source Guard: Verwirft Pakete mit gespooften Quelladressen basierend auf der Binding-Tabelle.

Diese Features sind auf Enterprise-Switches von Cisco, Juniper, Arista und anderen verfügbar. Konfigurieren Sie sie – sie sind standardmäßig deaktiviert.

Häufige Fehler #

IPv6 aktivieren ohne Firewall zu konfigurieren. Wenn Ihre Firewall-Regeln nur IPv4 abdecken, sind Sie bei IPv6 weit offen. Dies ist die #1-Schwachstelle in der realen Welt.

Alle ICMPv6 blockieren. Dies bricht Path MTU Discovery und verursacht mysteriöse Konnektivitätsausfälle, besonders für große Pakete und durch Tunnel.

IPv6 auf „IPv4-only"-Netzwerken ignorieren. Die meisten Betriebssysteme aktivieren IPv6 standardmäßig. Ohne ordentliche Infrastruktur könnten sie Link-Local verwenden oder zu zufälligen Endpunkten tunneln.

Annehmen, dass NAT64 Sicherheit bietet. Übersetzungstechnologien fügen keine Sicherheit hinzu. Sie übersetzen nur. Sie benötigen weiterhin Firewall-Regeln.

Dieselben Firewall-Regeln für IPv4 und IPv6 verwenden. Einige Regeln übersetzen sich direkt; andere (wie ICMP-Behandlung) benötigen spezifische Aufmerksamkeit.

Sicherheits-Checkliste #

Vor dem Live-Gang mit IPv6:

Firewall-Regeln decken explizit IPv6-Verkehr ab
Wesentliche ICMPv6-Typen sind erlaubt
RA Guard auf Access-Switches aktiviert
DHCPv6 Guard konfiguriert, falls DHCPv6 verwendet wird
IDS/IPS-Signaturen für IPv6 aktualisiert
Logging erfasst IPv6-Quelladressen
DNS-Records überprüft (unnötige AAAA-Records nicht veröffentlichen)
Privacy Extensions auf Clients aktiviert
Überwachung für Rogue RAs eingerichtet

Zusammenfassung #

IPv6-Sicherheit ist nicht schwerer als IPv4 – sie ist anders. Die Grundlagen bleiben: Stateful Firewalls, ordentliche Zugriffskontrolle, Überwachung und Systeme aktuell halten.

Das größte Risiko ist nicht technische Komplexität. Es ist die Übergangsphase, wo IPv6 existiert, aber nicht ordentlich verwaltet wird. Behandeln Sie IPv6 als erstklassigen Bürger in Ihrer Sicherheitsarchitektur, nicht als nachträglichen Einfall.